CN114615045A - 一种基于深度森林的物联网僵尸网络流量检测与分类方法 - Google Patents
一种基于深度森林的物联网僵尸网络流量检测与分类方法 Download PDFInfo
- Publication number
- CN114615045A CN114615045A CN202210223857.4A CN202210223857A CN114615045A CN 114615045 A CN114615045 A CN 114615045A CN 202210223857 A CN202210223857 A CN 202210223857A CN 114615045 A CN114615045 A CN 114615045A
- Authority
- CN
- China
- Prior art keywords
- data
- forest
- cascade
- classifying
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000001514 detection method Methods 0.000 title abstract description 18
- 239000013598 vector Substances 0.000 claims abstract description 43
- 238000012360 testing method Methods 0.000 claims abstract description 29
- 238000012795 verification Methods 0.000 claims abstract description 5
- 238000010606 normalization Methods 0.000 claims abstract description 4
- 238000012549 training Methods 0.000 claims description 19
- 238000007637 random forest analysis Methods 0.000 claims description 18
- 238000012935 Averaging Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 4
- 230000002411 adverse Effects 0.000 claims description 3
- 238000010187 selection method Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 abstract description 4
- 238000012545 processing Methods 0.000 abstract description 4
- 238000013135 deep learning Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 2
- 238000013145 classification model Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 230000004297 night vision Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000007786 learning performance Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Probability & Statistics with Applications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于深度森林的物联网僵尸网络流量检测与分类方法。该方法包括以下步骤:获取物联网僵尸网络流量数据集并对其进行归一化及欠采样处理;对数据集进行分析以建立特征数据和标签数据;通过特征工程选择重要特征构成相应的数据子集,再将其按比例拆分为增长集、验证集和测试集;增长集的特征向量根据滑动窗口大小进行多粒度扫描获得拼接后的概率向量,进而输入至级联森林模块后逐层加工以精炼分类;将待测数据集的特征向量输入至深度森林模型中得到流量的分类结果。本发明能够有效地从大规模流量数据中提取出重要信息,可以适用于多分类任务以及解决待测数据非平衡的实际问题,并显著提高物联网僵尸网络流量检测准确度。
Description
技术领域
本发明属于信息安全和僵尸网络流量检测技术领域,具体涉及一种基于深度森林的物联网僵尸网络流量检测与分类方法。
背景技术
随着物联网技术的飞速发展,攻击者将僵尸网络攻击目标转向安全性能较低的物联网设备以发动分布式拒绝服务等攻击,因此,基于物联网僵尸网络流量检测研究颇受学者的广泛关注。基于物联网僵尸网络流量检测方法按技术主要分为两大类:基于传统机器学习检测方法和基于深度学习检测方法。传统机器学习分类算法可以很好地应用在网络入侵检测问题上,如朴素贝叶斯、ID3决策树、支持向量机以及K近邻算法在网络异常分析中具有不同需求下的优劣。但随着网络流量复杂性和不确定性的提升,网络产生的数据量和相关特征值维度十分庞大,因此,基于传统机器学习技术的入侵检测方法难以从海量高维的特征数据中捕获重要信息,从而不适用于解决多分类以及待测数据非平衡的实际问题。较传统机器学习方法而言,基于深度学习的入侵检测方法通过深度的网络自动提取特征进行表征学习使其成为非常理想的流量分类方法。大部分深度学习算法例如自动编码器(AE)、深度波尔茨曼机(DBM)、深度置信网络(DBN)、长短期记忆网络(LSTM)、卷积神经网络(CNN)等都已经用于解决海量高维数据难处理等问题。此外,AE、DBM等深度学习方法能够较好地提取大规模高维数据中的非线性结构信息,获得更多的隐藏信息。然而,基于深度学习的入侵检测方法训练模型十分复杂,需要强大的计算能力,且模型的学习性能严重依赖于对大量的超参数的仔细调整。
因此,考虑到现有方案中存在上述问题。本发明提出了一种基于深度森林的物联网僵尸网络流量检测与分类方法。
发明内容
针对上述研究的问题,本发明的目的是提出一种基于深度森林的物联网僵尸网络流量检测与分类方法,以提高分类模型对海量高维特征数据的表征学习能力并降低模型训练复杂度,从而提升对多分类任务处理的准确率。
本发明采用以下方案实现:一种基于深度森林的物联网僵尸网络流量检测与分类方法,包括以下步骤:
步骤S1:获取物联网僵尸网络流量数据集D;
步骤S2:采用Min-Max归一化方法计算
将所述D中的数值数据缩放到[0,1]的区间内以消除奇异样本数据导致的不良影响,并得到数据集D1;
步骤S3:对所述D1进行分析,将不平衡数据集D1采用欠采样技术处理,即从多数集中选出一部分数据量接近于少数集的数据与少数集重新组合成一个新的数据集D2以达到数据平衡,并基于D2建立特征数据和标签数据;
步骤S4:通过特征选择方法计算所述D2各个特征的Fisher得分
其中,N表示类别数,μ表示所有类别的样本在指定特征上的平均值,μi和σi表示第i类样本在指定特征上的平均值和标准偏差,pi表示第i类别样本所占的比例,以此选择出所述D2中重要特征并构成相应的数据子集D3,以降低训练的冗余开销;
步骤S5:将所述D3按8:2的比例拆分为训练数据集Dtrain和测试数据集Dtest,其中,将Dtrain进行分组,80%作为增长集Dextend,20%作为验证集Dvalidate;首先用Dextend对模型进行训练以增长级联,再利用Dvalidate来测试训练得到的模型,以此来评价模型的性能指标;如果增加一个新的级联并不能提高性能,则级联的增长将终止,并获得估计的级联数;
步骤S6:设置滑动窗口长度及滑动步长,将Dextend中的特征向量输入至多粒度扫描模块中,经过完全随机森林和随机森林进行分类生成概率向量,再将这些概率向量按顺序拼接作为级联森林模块的输入;
步骤S7:将多粒度扫描模块输出结果作为级联森林的第一级输入,分别经过两个随机森林和两个完全随机森林进行分类,每个森林模型都会输出分类的概率向量,在此后的每一级都将多粒度扫描后的概率向量和前一级级联森林的输出作为下一级的输入;每扩展一级,使用Dvalidate对分类的性能进行评估,若没有显著的精确度提升,则中断级联森林过程,自动确定学习深度,直至最后一级,对所有输出的概率向量取均值,输出具有最大概率那一类的标签,作为最终的分类结果;
步骤S8:使用Dtest和D1依次进行测试,首先将所述两种数据集的特征向量进行多粒度扫描获得拼接后的概率向量,再依次将两种概率向量输入至级联森林模块进行测试,级联森林的最后一层汇总级联森林的输出结果,得到分类结果,并计算精确度
查准率
查全率
和F1度量
其中,TP表示将正例分类为正例的样本数量,FP表示的是将反例分类为正例的样本数量,FN表示的是将正例分类为反例的样本数量,TN表示的是将正例分类为正例的样本数量。
与现有技术相比,本发明具有以下有益效果:
本发明对预处理后的包含正常网络和物联网僵尸网络的流量数据特征向量进行多粒度扫描模块处理得到拼接后的概率向量用作级联森林的输入,以提高输入特征的差异性和表征学习的泛化能力,能够有效地从大规模流量数据中提取出重要信息;本发明利用级联森林结构对数据的特征逐层进行加工并不断地精炼分类,加强了模型的表征学习能力并提高了模型分类的准确率,同时较少的超参数使得模型复杂度是自适应的,可以适用于多分类任务以及待测数据非平衡的实际问题;本发明通过检测物联网僵尸网络流量以对不同攻击类型进行分类,能有效且及时地针对某种攻击类型做出安全措施。
附图说明
图1为本发明的一种基于深度森林的物联网僵尸网络检测与分类方法流程示意图;
图2为本发明的多粒度扫描模块结构示意图;
图3为本发明的级联森林模块结构示意图。
具体实施方式
下面结合附图对本发明进行详细描述,本部分的描述仅是示范性和解释性,不应对本发明的保护范围有任何的限制作用。此外,本领域技术人员根据本文件的描述,可以对本文件中实施例中以及不同实施例中的特征进行相应组合。
图1为本发明的一种基于深度森林的物联网僵尸网络检测与分类方法流程示意图,具体包括:
步骤S1:获取物联网僵尸网络流量数据集D;
步骤S2:采用Min-Max归一化方法计算
将所述D中的数值数据缩放到[0,1]的区间内以消除奇异样本数据导致的不良影响,并得到数据集D1;
步骤S3:对所述D1进行分析,将不平衡数据集D1采用欠采样技术处理,即从多数集中选出一部分数据量接近于少数集的数据与少数集重新组合成一个新的数据集D2以达到数据平衡,并基于D2建立特征数据和标签数据;
步骤S4:通过特征选择方法计算所述D2各个特征的Fisher得分
其中,N表示类别数,μ表示所有类别的样本在指定特征上的平均值,μi和σi表示第i类样本在指定特征上的平均值和标准偏差,pi表示第i类别样本所占的比例,以此选择出所述D2中重要特征并构成相应的数据子集D3,以降低训练的冗余开销;
步骤S5:将所述D3按8:2的比例拆分为训练数据集Dtrain和测试数据集Dtest,其中,将Dtrain进行分组,80%作为增长集Dextend,20%作为验证集Dvalidate;首先用Dextend对模型进行训练以增长级联,再利用Dvalidate来测试训练得到的模型,以此来评价模型的性能指标;如果增加一个新的级联并不能提高性能,则级联的增长将终止,并获得估计的级联数;
步骤S6:设置滑动窗口长度及滑动步长,将Dextend中的特征向量输入至多粒度扫描模块中,经过完全随机森林和随机森林进行分类生成概率向量,再将这些概率向量按顺序拼接作为级联森林模块的输入;
步骤S7:将多粒度扫描模块输出结果作为级联森林的第一级输入,分别经过两个随机森林和两个完全随机森林进行分类,每个森林模型都会输出分类的概率向量,在此后的每一级都将多粒度扫描后的概率向量和前一级级联森林的输出作为下一级的输入;每扩展一级,使用Dvalidate对分类的性能进行评估,若没有显著的精确度提升,则中断级联森林过程,自动确定学习深度,直至最后一级,对所有输出的概率向量取均值,输出具有最大概率那一类的标签,作为最终的分类结果;
步骤S8:使用Dtest和D1依次进行测试,首先将所述两种数据集的特征向量进行多粒度扫描获得拼接后的概率向量,再依次将两种概率向量输入至级联森林模块进行测试,级联森林的最后一层汇总级联森林的输出结果,得到分类结果,并计算精确度
查准率
查全率
和F1度量
其中,TP表示将正例分类为正例的样本数量,FP表示的是将反例分类为正例的样本数量,FN表示的是将正例分类为反例的样本数量,TN表示的是将正例分类为正例的样本数量。
在本实例中,具体的实验模拟过程如下:
第一步,下载较为经典的物联网僵尸网络数据集N-BaIoT的csv文件,其中,该数据集收集了9个物联网设备(如智能WIFI可夜视门铃、婴儿监视器、恒温器、安全摄像头、网络摄像头)感染两种最常见的物联网僵尸网络家族Gafgyt和Mirai前后的流量数据包,共有5256390个实例,包括555932个良性实例和4700458个攻击实例。其中,Gafgyt攻击包括3种不同的攻击类型,分别是Scan、Junk以及COMBO,Mirai攻击包括5种不同的攻击类型,分别是Scan、Ack flood、Syn flood、UDP flood以及UDPplain flood。此外,每个数据记录都有115个特征,具体地,每当流量数据包到达时,就计算传输流量数据包的协议和主机的行为快照,每个快照对应于一组统计特征中反映的数据包的全部信息,即每个数据包的到达会从五个时间窗口(100ms,500ms,1.5sec,10sec和1min)中分别提取23个统计特征,共有115个特征。
第二步,采用N-BaIoT数据集中智能WIFI可夜视门铃的数据集D(Danmini_Doorbell)进行实验分析,共有820283个实例,包括49548个良性实例(Benign)和770735个攻击实例(Gafgyt和Mirai);对D进行归一化处理得到数据集D1,再对D1进行分析以建立特征数据和标签数据;先将正常网络流量数据Benign标为0,然后分别将Gafgyt攻击中3种不同的攻击类型Scan、Junk和COMBO标为1、2、3,以及Mirai攻击中5种不同的攻击类型Scan、Ackflood、Syn flood、UDP flood和UDPplain flood标为4、5、6、7、8。
第三步,针对数据不平衡问题采用欠采样技术将各个类别的数据减少至29068个,并计算各个特征的Fisher得分,根据Fisher得分的值对特征进行排序,再依次选取前20、16、12、11、10、9、8、7、6个特征作为特征组合,最终选择最优的特征数量为9作为特征组合,表1为基于Fisher得分的20个最优特征。
表1基于Fisher得分的20个最优特征
| Feature | Fisher Score | Feature | Fisher Score |
| MI_dir_L0.01_weight | 1.0332539 | MI_dir_L0.1_variance | 0.7100778 |
| H_L0.01_weight | 1.0332539 | H_L0.1_variance | 0.7100778 |
| MI_dir_L0.01_mean | 0.7662551 | MI_dir_L1_variance | 0.6991145 |
| H_L0.01_mean | 0.7662551 | H_L1_variance | 0.6991145 |
| MI_dir_L0.1_mean | 0.7549406 | MI_dir_L3_mean | 0.6432712 |
| H_L0.1_mean | 0.7549406 | H_L3_mean | 0.6432712 |
| MI_dir_L0.01_variance | 0.7256689 | MI_dir_L3_variance | 0.6109602 |
| H_L0.01_variance | 0.7256689 | H_L3_variance | 0.6109602 |
| MI_dir_L1_mean | 0.7169085 | MI_dir_L0.1_weight | 0.6071342 |
| H_L1_mean | 0.7169085 | H_L0.1_weight | 0.6071342 |
第四步,将所述欠采样处理及特征选择后的数据集按8:2的比例拆分为训练数据集Dtrain和测试数据集Dtest,其中,将Dtrain进行分组,80%作为增长集Dextend,20%作为验证集Dvalidate,其中,Dextend用来对模型进行训练以增长级联,Dvalidate用来测试训练得到的模型,以此来评价模型的性能指标。
第五步,针对所选的9个最优特征,采用长度为3的滑动窗口在样本特征向量上以步长为1进行多粒度扫描,可获得7个特征片段,将每个特征片段经过完全随机森林和随机森林进行分类,分别得到7个9维的概率向量,然后再将这些概率向量按顺序拼接,即可拼成1个126维的概率向量用作级联森林的输入,过程可参考图2。
第六步,将多粒度扫描模块得到的126维概率向量作为级联森林的第一级特征输入,分别经过两个随机森林和两个完全随机森林进行分类,其中,随机森林中每棵树随机选择数量为
的特征作为输入特征(d为输入特征的数量),选择具有最佳基尼系数的特征作为分割,完全随机森林中每棵树的节点分裂采用特征随机选择,当节点达到完全纯性时停止生长;每个森林模型都会输出分类的概率向量,在此后的每一级都将多粒度扫描后的概率向量和前一级级联森林的输出作为下一级的输入;每扩展一级,使用Dvalidate对分类的性能进行评估,若没有显著的精确度提升,则中断级联森林过程,自动确定学习深度,直至最后一级,对所有输出的概率向量取均值,输出具有最大概率那一类的标签,作为最终的分类结果,过程可参考图3。
第七步,使用Dtest和D1依次进行测试,首先将所述两种数据集进行多粒度扫描得到概率向量,再依次将两种概率向量输入至级联森林模块进行测试,级联森林的最后一层汇总级联森林的输出结果,得到分类结果,并计算精确度、查准率、查全率和F1度量,表2分别列出了不同特征数量下深度森林模型对数据集Dtest和D1进行分类测试的各指标值。
表2不同特征数量下深度森林模型对数据集Dtest和D1进行分类测试的各指标值
可以看到当特征数量选为9时,深度森林模型对物联网僵尸网络流量进行检测以及对正常网络和各个攻击类型进行分类的效果是最优的。因此,可以选择Fisher得分排名前9的特征作为特征组合对其他物联网设备流量数据进行多分类实验,并且基于深度森林的分类模型的复杂度是自适应的,具有很少的超参数需要设置,可以在不同规模的数据集上表现出不错的鲁棒性。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (1)
1.一种基于深度森林的物联网僵尸网络流量检测与分类方法,其特征在于,包括以下步骤:
步骤S1:获取物联网僵尸网络流量数据集D;
步骤S2:采用Min-Max归一化方法计算
将所述D中的数值数据缩放到[0,1]的区间内以消除奇异样本数据导致的不良影响,并得到数据集D1;
步骤S3:对所述D1进行分析,将不平衡数据集D1采用欠采样技术处理,即从多数集中选出一部分数据量接近于少数集的数据与少数集重新组合成一个新的数据集D2以达到数据平衡,并基于D2建立特征数据和标签数据;
步骤S4:通过特征选择方法计算所述D2各个特征的Fisher得分
其中,N表示类别数,μ表示所有类别的样本在指定特征上的平均值,μi和σi表示第i类样本在指定特征上的平均值和标准偏差,pi表示第i类别样本所占的比例,以此选择出所述D2中重要特征并构成相应的数据子集D3,以降低训练的冗余开销;
步骤S5:将所述D3按8:2的比例拆分为训练数据集Dtrain和测试数据集Dtest,其中,将Dtrain进行分组,80%作为增长集Dextend,20%作为验证集Dvalidate;首先用Dextend对模型进行训练以增长级联,再利用Dvalidate来测试训练得到的模型,以此来评价模型的性能指标;如果增加一个新的级联并不能提高性能,则级联的增长将终止,并获得估计的级联数;
步骤S6:设置滑动窗口长度及滑动步长,将Dextend中的特征向量输入至多粒度扫描模块中,经过完全随机森林和随机森林进行分类生成概率向量,再将这些概率向量按顺序拼接作为级联森林模块的输入;
步骤S7:将多粒度扫描模块输出结果作为级联森林的第一级输入,分别经过两个随机森林和两个完全随机森林进行分类,每个森林模型都会输出分类的概率向量,在此后的每一级都将多粒度扫描后的概率向量和前一级级联森林的输出作为下一级的输入;每扩展一级,使用Dvalidate对分类的性能进行评估,若没有显著的精确度提升,则中断级联森林过程,自动确定学习深度,直至最后一级,对所有输出的概率向量取均值,输出具有最大概率那一类的标签,作为最终的分类结果;
步骤S8:使用Dtest和D1依次进行测试,首先将所述两种数据集的特征向量进行多粒度扫描获得拼接后的概率向量,再依次将两种概率向量输入至级联森林模块进行测试,级联森林的最后一层汇总级联森林的输出结果,得到分类结果,并计算精确度
查准率
查全率
和F1度量
其中,TP表示将正例分类为正例的样本数量,FP表示的是将反例分类为正例的样本数量,FN表示的是将正例分类为反例的样本数量,TN表示的是将正例分类为正例的样本数量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210223857.4A CN114615045A (zh) | 2022-03-09 | 2022-03-09 | 一种基于深度森林的物联网僵尸网络流量检测与分类方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210223857.4A CN114615045A (zh) | 2022-03-09 | 2022-03-09 | 一种基于深度森林的物联网僵尸网络流量检测与分类方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114615045A true CN114615045A (zh) | 2022-06-10 |
Family
ID=81861254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210223857.4A Pending CN114615045A (zh) | 2022-03-09 | 2022-03-09 | 一种基于深度森林的物联网僵尸网络流量检测与分类方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114615045A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8402543B1 (en) * | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
| CN111224994A (zh) * | 2020-01-15 | 2020-06-02 | 南京邮电大学 | 一种基于特征选择的僵尸网络检测方法 |
| CN112001423A (zh) * | 2020-07-29 | 2020-11-27 | 暨南大学 | Apt恶意软件组织的开集识别方法、装置、设备和介质 |
-
2022
- 2022-03-09 CN CN202210223857.4A patent/CN114615045A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8402543B1 (en) * | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
| CN111224994A (zh) * | 2020-01-15 | 2020-06-02 | 南京邮电大学 | 一种基于特征选择的僵尸网络检测方法 |
| CN112001423A (zh) * | 2020-07-29 | 2020-11-27 | 暨南大学 | Apt恶意软件组织的开集识别方法、装置、设备和介质 |
Non-Patent Citations (5)
| Title |
|---|
| 戴瑾;王天宇;王少尉;: "基于深度森林的网络流量分类方法" * |
| 苏楠: "基于集成学习与深度学习的网络入侵检测技术研究" * |
| 董瑞洪;闫厚华;张秋余;李学勇;: "基于深度森林算法的分布式WSN入侵检测模型" * |
| 赵亭;程刚;赵玉艳;: "基于机器学习的僵尸物联网检测方法性能评价研究" * |
| 闫厚华: "基于流量的WSN入侵检测方法研究" * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111181939B (zh) | 一种基于集成学习的网络入侵检测方法及装置 | |
| CN110084610B (zh) | 一种基于孪生神经网络的网络交易欺诈检测系统 | |
| CN112231562A (zh) | 一种网络谣言识别方法及系统 | |
| CN112087442B (zh) | 基于注意力机制的时序相关网络入侵检测方法 | |
| CN111598179B (zh) | 电力监控系统用户异常行为分析方法、存储介质和设备 | |
| CN114124482B (zh) | 基于lof和孤立森林的访问流量异常检测方法及设备 | |
| CN110798314B (zh) | 一种基于随机森林算法的量子密钥分发参数优化方法 | |
| CN114844840B (zh) | 一种基于计算似然比的分布外网络流量数据检测方法 | |
| CN111507504A (zh) | 基于数据重采样的Adaboost集成学习电网故障诊断系统及方法 | |
| Zheng | Intrusion detection based on convolutional neural network | |
| CN113705604A (zh) | 僵尸网络流量分类检测方法、装置、电子设备及存储介质 | |
| CN111600878A (zh) | 一种基于maf-adm的低速率拒绝服务攻击检测方法 | |
| CN111600877A (zh) | 一种基于MF-Ada算法的LDoS攻击检测方法 | |
| CN114037001A (zh) | 基于wgan-gp-c和度量学习的机械泵小样本故障诊断方法 | |
| CN105721467A (zh) | 社交网络Sybil群体检测方法 | |
| CN110995713A (zh) | 一种基于卷积神经网络的僵尸网络检测系统及方法 | |
| Niu et al. | A Network Traffic anomaly Detection method based on CNN and XGBoost | |
| CN114615045A (zh) | 一种基于深度森林的物联网僵尸网络流量检测与分类方法 | |
| CN113852612B (zh) | 一种基于随机森林的网络入侵检测方法 | |
| Cui et al. | Using EBGAN for anomaly intrusion detection | |
| CN111291078A (zh) | 一种域名匹配检测方法及装置 | |
| CN116647844A (zh) | 一种基于堆叠集成算法的车载网络入侵检测方法 | |
| Ying et al. | PFrauDetector: a parallelized graph mining approach for efficient fraudulent phone call detection | |
| CN115659323A (zh) | 一种基于信息熵理论结合卷积神经网络的入侵检测方法 | |
| CN116170187A (zh) | 一种基于cnn和lstm融合网络的工业互联网入侵监测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220610 |